Phần mềm độc hại Joker là một mối đe dọa khác đối với quyền riêng tư và thông tin nhạy cảm của bạn. Gần đây, nó đã tấn công các thiết bị di động Android trên toàn cầu, dẫn đến việc phải loại bỏ một số ứng dụng khỏi Google Play Store.
Nếu muốn giữ an toàn cho thiết bị của mình, bạn sẽ cần phải biết phần mềm độc hại của Joker là gì và cách thức hoạt động của nó.
Phần mềm độc hại Joker là gì?
Phần mềm độc hại lừa đảo này được gọi là Joker, lý do là vì nó ẩn mình sau lớp mặt nạ của một ứng dụng xác thực và nhắm mục tiêu vào những người dùng không biết. Bạn cũng có thể thấy phần mềm độc hại Joker có tên Bread, cả hai đều giống nhau.
Google lần đầu tiên gặp phải mối đe dọa này vào năm 2017 và nó vẫn là một vấn đề đang diễn ra. Các tin tặc đứng sau phần mềm độc hại Joker liên tục tìm cách thao túng các lỗ hổng bảo mật Google Play Store, cho phép phần mềm độc hại được ngụy trang mà không bị phát hiện.
Các tác giả của Joker đã có một số phương pháp để đưa ứng dụng nhiễm virus vượt qua các giao thức bảo mật trong Play Store. Trên thực tế, chúng thậm chí còn tạo ra một phiên bản ứng dụng không có phần mềm độc hại, upload nó lên Google Play Store và sau đó cài đặt phần mềm độc hại trên thiết bị của nạn nhân bằng cách che giấu nó dưới dạng một bản cập nhật ứng dụng.
Khi bạn cài đặt một ứng dụng bị nhiễm phần mềm độc hại Joker, nó sẽ đăng ký tùy chọn trả phí mà không có sự cho phép của bạn. Vấn đề còn tồi tệ hơn khi phần mềm độc hại Joker có thể giữ danh bạ, tin nhắn SMS và thông tin thiết bị của bạn. Rất khó để lấy lại tiền sau khi trở thành nạn nhân của trò lừa đảo này, vì vậy việc ngăn chặn sự lây nhiễm malware này trước khi nó xảy ra vô cùng quan trọng.
Malware Joker hoạt động như thế nào?
Các ứng dụng bị nhiễm phần mềm độc hại Joker không ngang nhiên yêu cầu thông tin cá nhân của bạn. Phần mềm độc hại này còn lén lút hơn thế nhiều, khiến cho việc bạn nhận ra mình đã trở thành nạn nhân thậm chí còn khó khăn hơn.
Loại phần mềm độc hại Joker đầu tiên chủ yếu dựa vào gian lận SMS. Bằng cách gửi tin nhắn SMS đến một số cao cấp từ điện thoại của bạn, phần mềm độc hại Joker sẽ đăng ký hoặc thực hiện các khoản thanh toán mà bạn không biết. Vì các dịch vụ cao cấp và gói thuê bao này thường được hợp tác với nhà mạng di động, bạn nên thường thấy các khoản phí không mong muốn trên hóa đơn điện thoại di động của mình.
Đầu năm 2019, Google đã thắt chặt các hạn chế đối với những ứng dụng yêu cầu truy cập nhật ký cuộc gọi hoặc SMS của người dùng. Nhờ thay đổi về chính sách này, nhiều ứng dụng bị nhiễm Joker đã được phát hiện và sau đó bị xóa khỏi Play Store. Việc triển khai Google Play Protect cũng đã giúp giữ an toàn cho các thiết bị Android.
Bất chấp những nỗ lực của Google, phần mềm độc hại Joker vẫn tồn tại. Nghiên cứu của Check Point đã tìm ra một loại phần mềm độc hại Joker mới, cũng thực hiện hành vi gian dối như lần trước. Thay vì gian lận SMS, giờ đây, nó sử dụng một thủ thuật cũ thường thấy trong phần mềm độc hại của Windows.
Sau khi được cài đặt trên thiết bị, phần mềm độc hại Joker tải xuống file DEX thực thi từ máy chủ chỉ huy và kiểm soát. Code này được sử dụng để bí mật đăng ký tùy chọn cao cấp. Sau đó, nó tiến hành để ngăn thông báo xác nhận đăng ký xuất hiện trên điện thoại của nạn nhân.
Để thực hiện việc này, phần mềm độc hại Joker tận dụng Notification Listener, một tính năng của Android cho phép các ứng dụng truy cập vào những thông báo trên thiết bị. Phần mềm độc hại chiếm quyền điều khiển Notification Listener, cho phép phần mềm can thiệp vào thông báo đẩy.
Phiên bản mới nhất của phần mềm độc hại Joker vượt qua bảo mật Google bằng cách sử dụng một kỹ thuật thông minh. Theo Check Point, hiện tại, biến thể mới đã ẩn file DEX độc hại bên trong ứng dụng dưới dạng các chuỗi được mã hóa Base64, sẵn sàng để được giải mã và load.
Điều này có nghĩa là khi ứng dụng được đặt trên Play Store, sẽ không có dấu hiệu của phần mềm độc hại. Chỉ khi người dùng thực sự tải xuống ứng dụng, phần mềm độc hại mới “hiện nguyên hình”.
Cách bảo vệ bản thân khỏi malware Joker
Google gần đây đã xóa 11 ứng dụng có chứa phần mềm độc hại Joker khỏi Play Store. Nếu bạn có bất kỳ ứng dụng nào sau đây, hãy gỡ cài đặt chúng ngay lập tức:
- Compress Image (com.imagecompress.android)
- Contact Message (com.contact.withme.texts)
- Friend SMS (com.hmvoice.friendsms)
- Relaxation Message (com.relax.relaxation.androidsms)
- Cheery Message – listed two times (com.cheery.message.sendsms)
- Loving Message (com.peason.lovinglovemessage)
- File Recovery (com.file.recovefiles)
- App Locker (com.LPlocker.lockapps)
- Remind Alarm (com.remindme.alram)
- Memory Game (com.training.memorygame)
Mặc dù hầu hết các ứng dụng độc hại này hoạt động như những ứng dụng nhắn tin thay thế, các ứng dụng khác bao gồm trình nén hình ảnh, báo thức nhắc nhở, ứng dụng hình nền, v.v... Nếu bất kỳ ứng dụng nào nghe có vẻ quen thuộc với bạn, hãy kiểm tra hóa đơn thẻ tín dụng và điện thoại di động của bạn. Bất kỳ giao dịch hoặc đăng ký "trông lạ lạ" nào cũng có thể là dấu hiệu của phần mềm độc hại Joker.
Vì các ứng dụng bị nhiễm Joker trông có vẻ hợp pháp, nên bạn sẽ cần thực hiện một số biện pháp phòng ngừa bổ sung khi tải xuống ứng dụng.
Bạn cũng nên nhớ rằng nhiều ứng dụng bị nhiễm Joker có đánh giá người dùng giả mạo trên Play Store. Những đánh giá tích cực này tạo dựng niềm tin và lôi kéo mọi người tải xuống ứng dụng.
May mắn thay, khá dễ dàng để phát hiện các đánh giá giả. Nếu bạn thấy bất kỳ đánh giá trùng lặp nào dưới một ứng dụng, các đánh giá có khả năng là giả mạo. Điều tương tự cũng xảy ra đối với các đánh giá chung không đề cập đến tên ứng dụng.
Bên cạnh việc biết cách xác định một ứng dụng không an toàn trên Play Store, bạn cũng có thể tự bảo vệ mình bằng cách cài đặt một ứng dụng bảo mật đáng tin cậy trên thiết bị. Bạn có thể không nghĩ rằng mình cần một ứng dụng diệt virus trên Android, nhưng nó chắc chắn có thể hữu ích trong việc chống lại phần mềm độc hại Joker.
Cuối cùng, bạn chỉ nên cài đặt ứng dụng mà bạn thực sự tin tưởng. Thực hiện một số nghiên cứu bổ sung về bất kỳ ứng dụng nào bạn muốn tải xuống. Nếu bạn thấy bất kỳ dấu hiệu lừa đảo nào, hãy tránh xa nó bằng mọi giá.